テクノロジー
You’ve heard it 何度も何度もあなたは が必要です。 パスワードの管理を使用して、強力でユニークなパスワードを生成し、あなたのためにそれらを追跡することができます。そして、特に2010年代の間に、最終的に無料で主流の選択肢に踏み切ったのであれば、それはおそらくLastPassだったでしょう。しかし、このセキュリティサービスの2560万人のユーザーにとって、同社が作ったのは 心配な発表がありました。 12月22日、同社が以前(11月30日)報告したセキュリティ事故は、実は大規模かつ重大なデータ漏洩であり、暗号化されたパスワード保管庫(あらゆるパスワードマネージャの至宝)が、他のユーザーデータとともに流出したのである。
1週間前、LastPassが状況について提供した詳細は、セキュリティ専門家がすぐにユーザーに他のサービスに切り替えるよう呼びかけ始めたほど、心配なものでした。公開から1週間近く経った現在、同社は混乱し、心配する顧客に対して追加の情報を提供していない。LastPassは、今回の情報漏洩で漏洩したパスワード保管庫の数や、影響を受けたユーザーの数について、WIREDの複数回のコメント依頼に答えていない。
同社は、情報漏洩がいつ発生したのかさえ明らかにしていない。2022年8月以降のいつかだと思われますが、このタイミングが重要なのは、攻撃者が、盗まれたパスワード保管庫を暗号化するために使われた鍵を「クラッキング」(推測)し始めるのにどれだけの時間がかかるかという大きな疑問があるからです。もし攻撃者が盗んだデータを3〜4カ月も使っていたら、影響を受けたLastPassユーザーにとっては、ハッカーが数週間しか使っていなかった場合よりもさらに緊急性の高い状況になる。同社はまた、暗号化されたデータ保管庫と暗号化されていないデータ保管庫のデータを保存するために使用している「独自のバイナリ形式」と呼ぶものについて、WIREDの質問には回答していない。同社は発表の中で、事態の規模を特徴づけるために、ハッカーが “暗号化された保存容器から顧客の保管庫データのバックアップをコピーすることができた “と述べている。
7年以上前にLastPassで働いていたセキュリティエンジニアのEvan Johnson氏は、「私の意見では、彼らはインシデントの検出は世界トップクラスで、問題の予防と透明性のある対応は本当に、本当にお粗末な仕事をしている」と言う。”私は新しい選択肢を探すか、彼らの新しい経営陣が今後数ヶ月の間に信頼を築くことに改めて注力することを期待します”。
今回の侵害では、名前、電子メールアドレス、電話番号、一部の請求情報など、他の顧客データも含まれている。そしてLastPassは、パスワードのような項目は暗号化されているが、URLのような他の情報は暗号化されていないハイブリッド形式で、その保管庫データを保存しているという批判を以前から受けていた。このような状況では、保管庫内の平文のURLから攻撃者が中身を把握することができ、どの保管庫を最初にクラックするかという優先順位付けに役立つ可能性があります。ユーザーが選択したマスターパスワードで保護されているデータ保管庫は、侵入された後に自分自身を守ろうとするユーザーにとって特に問題となります。なぜなら、LastPassで今その主要なパスワードを変更しても、すでに盗まれたデータ保管庫のデータを保護することはできないからです。
あるいは、ジョンソン氏が言うように、”保管庫が回復したことで、LastPassをハッキングした人々は、パスワードを推測し、特定のユーザーのマスターキーを回復しようとするオフライン攻撃のための時間が無制限になりました。”と。
つまり、LastPassのユーザーは自分のデータ保管庫を確認し、すべてのパスワードを変更するなど、自分自身を守るための特別な措置を講じる必要があるのです。
特に、電子メール、金融サービス、よく使うソーシャルメディアのアカウントなど、価値の高いアカウントについては、2ファクタ認証を有効にすることから始めましょう。こうすることで、たとえ攻撃者がそのアカウントのパスワードを漏らしたとしても、2つ目の要素として追加したワンタイムコードやハードウェア認証キーがなければ、実際にログインすることができなくなります。次に、機密性や重要性の高いアカウントのパスワードをすべて変更します。そして、LastPassの保管庫に保存されている残りのパスワードもすべて変更してください。
これらのことをすべて(あるいは少なくともできる限り)行っているうちに、新しいパスワードマネージャに切り替えるタイミングがやってきました。新しいサービスには、アカウントを変更しながら追加することができます。 WIREDがおすすめする 1Passwordと無料サービスBitwarden、そしていくつかの代替サービスを紹介します。LastPassは、数年前に無料サービスを縮小して以来、推奨していない。LastPassは、今回の最も悲惨な違反が明らかになる以前から、数々のセキュリティ事故に見舞われていたのだから。
「あるシニア・セキュリティ・エンジニアは、LastPassのセキュリティ・チームの人々と仕事上の関係があるため、名前を明かさないことを求めた。この人は、LastPassのセキュリティチームの人と仕事上の付き合いがあるため、名前を伏せた。「彼らは、クラウドベースの安全な認証情報の保管という、本来提供すべきことをしなかったのです」。
セキュリティ専門家は、LastPassの状況は、一般的にパスワードマネージャを使うことを躊躇させるべきではないと強調しています。そして、もしあなたがLastPassの愛用者であるなら、保管庫のパスワードを変更し、2ファクタ認証を提供しているすべてのアカウントでそれを有効にし、保管庫内のすべてのパスワードを変更する必要があります。
「EUのデータ侵害通知を扱い、伝えた経験のある者として、LastPassが選んだコミュニケーション戦略は、ユーザーの信頼を損なう可能性があると言えるでしょう」と、独立系のプライバシー研究者兼コンサルタントであるLukasz Olejnikは言う。「大きな問題は、そのタイミングです。最初の調査は何ヶ月も前に始まっていたのに、なぜ年末の休暇の直前に行うのでしょうか?
長年のパスワードクラッカーであり、YahooセキュリティチームのシニアプリンシパルエンジニアであるJeremi Gosney氏は、次のように述べています。 はこう書いています。 今週、この状況について広範な投稿を行いました。”私は以前、LastPassをサポートしていました。何年もそれを推奨し、メディアで公に擁護してきた・・・しかし、物事は変わるのだ。”
